Поделиться через

Удостоверение устройства и безопасность

  • Статья

Внимание

Это документация по Azure Sphere (устаревшая версия). Служба Azure Sphere (устаревшая версия) выходит на пенсию 27 сентября 2027 г., и к этому времени пользователи должны перейти в Azure Sphere (интегрированная). Используйте селектор версий, расположенный над toC, чтобы просмотреть документацию по Azure Sphere (интегрированная).

Вы можете развертывать и управлять множеством устройств одновременно. Управление устройствами основано на возможности идентификации и доступа к каждому устройству по отдельности. Для этого каждому устройству Azure Sphere предоставляется уникальный внутренний идентификатор устройства, который сохраняется через любые обновления устройства, включая операции восстановления.

Однако в цифровых системах идентификатор устройства можно легко спуфингировать, подделывать или неправильно использовать. В результате необходимо разрешить только устройствам, удостоверения которых можно проверить и проверить, чтобы получить доступ к высокоценным данным и подключиться к службам.

Azure Sphere предоставляет процесс, позволяющий устройству идентифицировать себя (проверку подлинности) и подтвердить удостоверение устройства (аттестация). Процесс проверки подлинности и аттестации, используемый службой безопасности Azure Sphere, использует предварительно известные ключи, безопасные коммуникации и специализированное оборудование для подтверждения удостоверения устройства. Если проверка подлинности устройства и аттестация успешно завершены, сертификат выдается устройству. Допустимый сертификат указывает, что:

  • Удостоверение устройства проверено.
  • Устройство может быть доверенным.

При использовании Azure Sphere сертификаты устройств сначала связаны с сертификатом уровня клиента (что упрощает организацию доверять только устройствам из собственных клиентов), а затем к сертификату Майкрософт, который отражает, что это оборудование является проверенным экземпляром сертифицированного чипа Azure Sphere, работающего под защитной ОС Майкрософт.

Следующие понятия помогают использовать удостоверение устройства наиболее безопасными и эффективными способами.

  • Доверие является временным
    Доверие к системе может быть потеряно, и его можно восстановить. Принцип реализации архитектуры нулевого доверия в системе Интернета вещей заключается в явной проверке. Это означает, что каждый раз, когда вы взаимодействуете с устройством, явно определяет подлинность устройства и подтверждает, что транзакция данных является надежной. Устройства Azure Sphere автоматически выполняют процесс проверки подлинности и аттестации каждые 24 часа с облачными службами безопасности Azure Sphere. Указывает, что удостоверение устройства успешно проверено, является наличие криптографически подписанного сертификата, корняющегося в службе Microsoft Azure Sphere Cloud Security.

  • Identity = идентификаторы + аттестация
    Идентификаторы можно копировать и дублировать. В результате устройство не может быть просто известно его идентификатором. Удостоверение устройства (или удостоверение пользователя) должно считаться сочетанием идентификатора и аттестации, что такой идентификатор действителен в определенном контексте. Не следует назначать идентификаторы устройствам и использовать их независимо от процесса аттестации. По возможности объедините идентификаторы с свидетельством аттестации на каждом уровне взаимодействия в системах.

  • Идентификаторы и сертификаты доверия
    Идентификатор должен считаться не более ссылки. Не следует предполагать, что-либо о надежности объекта, на который он ссылается. Например, используйте идентификатор для подписки на сообщения MQTT, используйте идентификатор для группировки доверенных данных на портале и используйте идентификаторы для маршрутизации трафика и данных в системе. Однако, когда дело доходит до доверия, а не доверия идентификатору, доверяйте криптографически подписанный и цепной сертификат. Сертификаты особенно полезны для потока данных без пароля между системными компонентами и являются свидетельством идентификации, которая была проверена и проверена в рамках определенного контекста.

При использовании Центр Интернета вещей Azure, если они настроены в соответствии с документируемыми рекомендациями, эти понятия уже включены, упрощая развертывание защищенной и устойчивой системы.

Эти понятия также необходимо применять при подключении к конечным точкам или службам, отличным от Azure, которые вы управляете напрямую. Например, если используется MQTT, устройство может включать собственное удостоверение в рамках раздела MQTT, в который он публикуется. Однако перед принятием обновления раздела с устройства сервер MQTT должен убедиться, что сертификат, который устройство обеспечивает проверку подлинности для публикации в этом конкретном разделе.

Доступ к сертификату устройства Azure Sphere и идентификатору устройства

  • Чтобы получить доступ к сертификату устройства в приложении, используйте функцию DeviceAuth_GetCertificatePath .

  • Чтобы получить доступ к уникальному идентификатору устройства устройства, выполните анализ субъекта из сертификата, предоставленного функцией DeviceAuth_GetCertificatePath() с помощью функции wolfSSL_X509_get_subject_name .

В фрагменте кода показано, как получить идентификатор устройства Azure Sphere в высокоуровневом приложении. Он возвращает идентификатор устройства в качестве буфера символов 128 символов. Этот фрагмент команды wolfSSL позволяет открыть сеанс с сертификатом, извлечь контекст и сертификат, проанализировать идентификатор субъекта сертификата, который является идентификатором устройства для устройств Azure Sphere, и вернуть его в качестве char указателя.